仕事中には、どのようなセキュリティ脅威が存在するのか?

security training / consulting

CyberSecurity, 企業

仕事中には、どのようなセキュリティ脅威が存在するのか?

皆さん、こんにちわ。

最近では、1人1台のPCを利用して業務をすることが、多くなっています。

そのような仕事をしている環境では、どのようなセキュリティ脅威が存在するのでしょうか?

PCでは、WindowsやMacのようなオペレーティングシステムの上で、様々なソフトが動いています。

ドキュメントを作成したり、表計算ソフトを利用して数字を整理したり、メールを送信したり、様々なことにPCを活用しています。

そんな日々の業務にどのような脅威があるのかを整理して見ました。

無作為な攻撃とターゲティング攻撃

まず、攻撃として無作為なものと標的を絞った攻撃があると思います。

無作為なものは、ターゲットは誰でもよいようなものです。

ウェブサイト上にマルウェアを設置して感染するのを待ち伏せたり、不特定多数のユーザーにマルウェアに感染するようなリンクやファイルを添付してメールを送るものがあります。

無作為な攻撃に関しては、見に覚えのないメールを開かないようにしたり、怪しそうなウェブアクセスを控えたりすることで、リスクを減らすことができるでしょう。

標的を絞った攻撃は、標的型攻撃とかAPT攻撃と呼ばれ、特定の企業、更には特定の役職者を狙って攻撃をします。

このような標的型攻撃は、普段からビジネス関係のある人物のメールを利用してマルウェアを送るなど、わかりにくくなってきています。

リスティング攻撃

リスティング攻撃は、どこかから仕入れたアカウントとパスワードを利用して、ログインを試みるというものです。

どこかのサービスが攻撃され、大量のユーザ情報が搾取され、そのユーザ情報が、また別のサービスで利用されるというものです。

ユーザとしては、サービスごとに違うパスワードを利用することでリスクを減らすことができます。

また、多要素認証を有効にして、IDとパスワード + アプリやSMSを用いいた認証を行うとよいかと思います。

フィッシング攻撃

フィッシング攻撃とは、あるサービスと似たウェブサイトを利用して、ユーザにIDとパスワードを入力させ、アカウント情報を搾取するタイプの攻撃です。

銀行や有名なサービスを語ったメールを送り、用意したサイトへ誘導し、IDとパスワードを入力させます。

メールの内容として、不安を煽るようなものもあり、冷静に対処することが必要です。

見に覚えのあるメールなのか?URLが正規のものと正しいのか?検索サイトから正規のサイトにアクセスして確認するなどするとよいでしょう。

すでに、正規のサイト上で注意喚起されているケースもあります。

マルウェア・ランサムウェア

マルウェアとは、コンピュータウイルスの総称で、感染することで様々な被害を及ぼします。

最悪のケースでは、リモート操作を許し、PCを好きなように操作され、もちろん、PC上の情報も全て閲覧可能な状態となります。

ランサムウェアとは、マルウェアの一種で、感染するとファイルが暗号化され、見ることができなくなります。

暗号を解くには、パスコードが必要で、それを入手するためにお金を要求されます。

さらに、お金を支払ったとしてもデータが復旧される保証は、ありません。

年々被害も拡大され、2021年に200億ドルだった被害は、2031年までに2650億ドルまで拡大されると言われています。

2017年の「WannaCry」は、150カ国以上、30万台規模のPCが被害にあい、被害総額は4000億円以上とも言われています。

2020年には、大手車メーカーのホンダも大規模なランサムウェアによる攻撃の被害にあっています。

ランサムウェアにおいてもメールでマルウェアが送信されたり、ウェブ経由でのアクセスで感染されます。

ランサムウェアでは、既知の脆弱性が利用されることもあり、しっかりとセキュリティアップデートを適用しておくと良いでしょう。

また、日頃から重要なファイルをバックアップしておくのも有効です。

参考サイトは、こちら

BEC(ビジネスメール詐欺)

BECは、Business Email Compromise の略で、ビジネスメール詐欺のことを指します。

普段から関係のある顧客や上司を装い、お金の振込みなどを依頼し、金銭を騙し取ります。

相手先のメールをのっとり、正規のメールを利用し、かつ、関係性を理解した上で違和感のないメールを送るなど、見破るのが難しいケースもあるようです。

お金を振り込む前には、電話で確認するなど日頃のフロー明確にするのも有効と思われます。

事例は、こちら

メール送信間違い

攻撃とは違いますが、送信先を間違えて情報漏えいするようなケースも多いのが実情です。

顧客情報や機密情報の添付されたメールを不特定多数のユーザに送ってしまったり、関係のないメーリングリストに送ってしまうケースもあります。

人が行ってる操作なので、ミスはつきものですが、十分に注意しましょう。

メールシステムによっては、条件によって送信前にアラートを出すような設定もできるので、合わせて活用するとよいかと思います。

どのようにリスクを減らせるのか?

紹介したように、普段から行っている業務環境でも様々なセキュリティ的な脅威があります。

日頃から少しでも注意することで、そのリスクを減らすことができます。

見に覚えのないメールやその中の添付ファイルを開かないようにしたり、リンクをクリックしないように心がけましょう。

ウェブアクセスは、業務に必要な必要最低限のものにするとよいでしょう。

セキュリティのアップデートを必ず、適用するようにしましょう。

自動でアップデートする設定がある場合は、有効にしましょう。

重要な金銭のやり取りなどは、フローを決めて、電話確認などを盛り込むようにしましょう。

セキュリティサービスは、こちら

  • 投稿者:
  • 投稿日: 2022年6月25日
0

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


© 2024年 セキュリティトレーニング/コンサルティング. Built using WordPress and EmpowerWP Theme.